PAN firewall IPv6 test…
PaloAlto Networks je v white-paper zapisal, da so dodali IPv6 podporo svojemu firewallu v Virtual-Wire načinu. Ni nam preostalo drugega, kot da smo v go6lab-u na napravo namestili PanOS 3.0.1 in trditve stestirali…
Trditve so se izkazale za resnične. IPv4 promet in stack na napravah okrog PAN firewalla sem absolutno ugasnil in komuniciral s svetom samo preko IPv6. Ta promet sem spustil skozi PAN forewall v VWire načinu in rezultat je viden; analiza prometa mi je povedala točno to, kar sem pričakoval. Preko IPv6 sem šel na go6.si, preko ftp-ja dolpotegnil Eicar testno virus datoteko, browsal in uporabljal sem googlove servise, od koledarja pa do Picassa albuma, google documents in podobno. Preko IPv6 sem preveril email, kakšnega tudi poslal in podobne zadeve. Zanimivo, koliko ICMPv6 prometa se zgenerira (nisem pingal ), večinoma “neighbourhood discovery” protokol, od zunaj pa pMTUd.
S tem je torej dognano, da PAN firewall zna razkopavati IPv6 promet in delati layer7 deep-packet inspection. Ko bodo fantje dodali še možnost native routinga IPv6 (L3) in pripadajočih servisov, so pa zmagali.
Jan Žorž
Vaš IP naslov (ali ste na IPv6 ?):
3.133.114.38